Hallo zusammen,
ich möchte gerne folgende Dienste/Funktionen meines Exchange 2016 CU18 von extern nutzen können:
- OWA im Browser
- ActiveSync am Handy (Android, Samsung Email-App)
Deshalb habe ich meine SophosXG (SFOS 18.0.3 MR-3) anhand dieser beiden Artikel konfiguriert:
- https://www.frankysweb.de/sophos-xg-exchange-2016-und-sfos-16-05-webserver-protection-teil-1/
- https://www.frankysweb.de/sophos-xg-exchange-2016-und-sfos-16-05-webserver-protection-teil-2/
Leider bekomme ich folgende Probleme nicht in den Griff:
Problem 1: OWA
nach dem Login werden mir keinerlei Bilder/Symbole angezeigt, lediglich Hieroglyphen.
Das Problem lässt sich wie folgt "umgehen":
1. Browsercache leeren
2. das Sicherheitsprofil von "Exchange General" in der WAF-Rule auf "keines" setzen
3. in OWA einloggen - dann werden alle Icons korrekt angezeigt.
4. Sicherheitsprofil in der WAF-Regel wieder auf "Exchange General" zurückstellen
Von diesen Zeitpunkt aus werden (wenn der Browser-Cache nicht geleert wird) die Icons auch bei zukünftigen Logins in OWA angezeigt.
Problem 2: Active-Sync
ich nutze zum Mail-Abruf am Android-Handy die Email-App von Samsung.
Ich kann auch Emails abrufen, jedoch funktioniert seit Kurzem kein Push mehr.
Also bei jedem Öffnen der Email-App erhalte ich die Meldung "Anmeldung fehlgeschlagen. Sie müssen Ihre Identität bestätigen, um dieses Konto zu verwenden..."
Ein manuelles aktualisieren per "Wisch nach unten" lädt dann die Mails. Eine Neueingabe der Zugangsdaten bringt nichts. Ein deaktivieren des Sicherheitsprofils in der WAF (Auswahl auf "keines" setzen) oder ein Verbinden per VPN löst das Problem.
Ebenso besteht das Problem nur extern sobald es über die WAF läuft, nicht im lokalen LAN.
Ich hatte schon die Einstellung "Clients mit schlechtem Ruf blockieren" in der WAF in Verdacht - ein deaktivieren der Option bringt jedoch keine Besserung.
Bin um jeden Tip dankbar.
Viele Grüße
Moin,
also ich betreibe noch die XG 17.5 und habe dasselbe Problem mit den Icons - Push-Mail funktioniert allerdings ohne Probleme.
Bei einer UTM hat "rewrite HTML" zu deaktivieren geholfen. Leider funktioniert dies bei einer XG anscheinend nicht.
Ich bin mit meinem Latein auch am Ende und für Tipps dankbar.
Viele Grüße
So, ich konnte die Probleme lösen und wollte euch kurz meine Lösungen mitteilen.
Problem 1: Hieroglyphen in OWA
Die Lösung war hier bei mir eine zusätzliche Ausnahme in der WAF-Regel "Exchange WebServices".
Einfach für die Pfade /owa/* und /OWA/* den Haken setzen bei: HTML während statischem URL-Hardening oder Form-Hardening nie ändern
Anschließend Browser-Cache löschen, einloggen, funktioniert. Die Icons werden nun sauber angezeigt.
Bleibt nur die Frage: Ist das eine sinnvolle Ausnahme oder ist das eher kontraproduktiv? Hat da jemand Erfahrungen?
Problem 2: Active-Sync
Auch hier war die Lösung einer weiteren Ausnahme in der WAF-Regel "Exchange WebServices".
Diesmal für die Pfade /Microsoft-Server-ActiveSync , /Microsoft-Server-ActiveSync/* und /Microsoft-Server-ActiveSync?* die Haken setzen bei: Statisches URL-Hardening, Antivirus, Clients mit schlechtem Ruf blockieren, Protokolldurchsetzung.
Bleibt nur die Frage: Ist das eine sinnvolle Ausnahme oder ist das eher kontraproduktiv? Hat da jemand Erfahrungen?
Das entspricht dem "normalen" How To für Sophos UTM Veröffentlichungen von Exchange. ;) Kannst du auch selbst nachschauen:
https://www.frankysweb.de/sophos-utm-9-4-waf-und-exchange-2016-ohne-rpcoverhttp/